AV-Fixer: ecco come ingannare ed aggirare un antivirus

Per le aziende di sicurezza informatica ormai è diventata una vera e propria lotta contro il tempo quella di cercare di individuare il prima possibile i nuovi malware che vengono messi in circolazione. Prima li riconoscono e prima studiano e implementano la soluzione nei loro antivirus, giustamente.

Gli strumenti con i quali un antivirus riconosce un malware sono le signature, che vengono messe a disposizione da parte della azienda produttrice non appena riconosce una determinata versione di uno specifico malware. Ecco perché i creatori di questi virus rispondono con una più veloce distribuzione.

Due anni fa, era possibile inviare il malware a siti web come Jotti (http://virusscan.jotti.org/it) e VirusTotal (http://www.virustotal.com/it/) per controllare se il proprio file era affetto da un qualche tipo di virus. Ma molto spesso erano utilizzati più da chi aveva cattive intenzioni, come quella di voler aggirare un antivirus, piuttosto che da chi voleva davvero controllare i propri file. Tramite una piccola spunta su un’opzione infatti era possibile non inviare il file eventualmente infetto alle case produttrici di antivirus che quindi non ne venivano a conoscenza, almeno non in questo modo. Oggi questo non è più possibile dato che su richiesta delle aziende produttrici VirusTotal ha eliminato questa possibilità e qualsiasi file infetto rilevato dal sito web viene inviato e reso noto alle aziende che quindi pubblicano la signature con la versione nota di quel malware.

ECCO COME AGGIRO IL CONTROLLO DELL’ANTIVIRUS

Ma ora hanno anche un’arma in più: un tool, anzi due, chiamati Kims e AV-Fixer che permettono di rendere irriconoscibile un malware ed ingannare uno o più antivirus con un solo click cambiandone i dati che causano il riconoscimento da parte degli antivirus. Per utilizzarlo infatti basta selezionare il malware, e scegliere a quale antivirus lo si vuole rendere irriconoscibile. Stop. Un paio di click ed il nostro virus sarà come nuovo.

NUOVI MODI PER RICONOSCERE UN VIRUS: L’ANALISI DEL COMPORTAMENTO

Comunque, le aziende stanno cercando di trovare sempre nuove strade per la protezione da questi virus e malware. Per ora, la maggior parte dei software utilizzano un sistema euristico di riconoscimento, viene cioè analizzata la struttura esterna di un file per determinarne eventualmente la sua natura virale. Tuttavia, sono in corso dei nuovi esperimenti che consentono una vera e propria analisi del comportamento di un file. In poche parole, un virus non verrà più riconosciuto in base a come appare in superficie, ma in base a come si comporta.